OWASP Top 10 Security Issue

Injection

sql语句全部使用参数形式调用,不拼sql语句

对输入都要验证:客户端验证+服务器段验证

数据库操作的授权

针对每个输入Field,来验证字符串是否允许输入

Cross-Site Scripting (XSS)

输入参数,使用微软的Anti-XSS组件过滤

输出到界面html元素’s string, 使用微软的Anti-XSS组件过滤

SRE(Security Runtime Engine) HttpModule全自动方式

Broken Authentication and Session Management

Unknow

Insecure Direct Object References

业务对象表:技术主键ID(Int)+对外引用ID(Guid)

application layer: 增加一些HashTable==> Guid-->Int 对应关系全局缓存

Cross-Site Request Forgery (CSRF)

使用微软的Anti-CSRF组件过滤每个post请求

Security Misconfiguration(NEW)

Web.config命令行加密

Insecure Cryptographic Storage

对称加密配合随机的PasswordSalt参数

Failure to Restrict URL Access

使用.net提供的membershipprovider组件来实现url保护

配合web.config中的Allow/Deny关键字

Or

使用给每个aspx页面写basepage以达到对每个页面进行权限判断

Insufficient Transport Layer Protection

验证页面:ssl, httponly, cookie

UnvalidatedRedirects and Forwards (NEW)

针对每个需要重定向的url进行验证是否合法

转载于:https://www.cnblogs.com/aarond/archive/2012/06/20/Security.html

Top 10 Security Issue Solution相关推荐

  1. Top 10 Security Risks for 2014

    瞌睡龙 · 2014/08/06 12:48 information from WooYun A1-互联网泄密事件/撞库攻击 以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试 ...

  2. Web Application Security 网络应用程序安全 - (二)2010年网络安全威胁排行榜TOP 10...

    貌似距离我的上一篇关于Web Application Security的文章(Web Application Security 网络应用程序安全 - (一)启航)已经过了很久很久了,这段时间主要都在忙 ...

  3. Security issue about static code checking

    2019独角兽企业重金招聘Python工程师标准>>> Tool  name:Coverity Brief introduction about Coverity: Prevent ...

  4. OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)

    OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...

  5. OWASP TOP 10

    OWASP Open Web Application Security Project 官网:https://www.owasp.org/index.p... 下载:https://www.owasp ...

  6. Top 10 Digital Transformation Trends For 2020

    文章目录 Top 10 Digital Transformation Trends For 2020 1. 5G for You and Me 2. A faster WiFi for a faste ...

  7. 2021 OWASP Top 10 榜单(初稿)发布,头牌易主

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OWASP Top 10 榜单列出的是最危险的 web 漏洞,时隔四年且十多年以来,该榜单霸主易主. OWASP Top 10 榜单创建于21世 ...

  8. 【OWASP Top 10】2021版

    [OWASP Top 10]2021版 A01:失效的访问控制(Broken Access Control) 失效的访问控制(Broken Access Control)从第五位上升到了第一位.94% ...

  9. CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系

    OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP ...

  10. 谷歌2019 学术指标发榜:CVPR首次进入Top 10,何恺明论文引用最高!

    来源:新智元 本文约2400字,建议阅读5分钟. 谷歌2019年学术指标榜单~ 近日,谷歌发布了2019最新版学术指标,对收录的会议和期刊的影响力进行排名.AI类的多个顶会进入榜单Top 100,CV ...

最新文章

  1. Tesseract-OCR 3.04简单使用举例(读入图像输出识别结果)
  2. 下载perl的mysql模块_安装用于操作MySQL的Perl模块
  3. Webform--LinQ 增、删、改、查
  4. Struts2配置文件【代码库】
  5. 团队作业——随堂小测
  6. 类中内容在内存中到底是如何分配的呢?
  7. Vaadin和DukeScript中的Hello World
  8. PowerShell 远程执行任务
  9. 不重启修改计算机名称,批处理不重启快速修改计算机名
  10. 95-080-058-源码-启动-启动taskexecutor
  11. sql 拆解函数_在SQL Server数据库中拆分字符串函数
  12. javamailsender注入失败_使用Spring3.x框架的java mail支持来发送邮件
  13. 用计算机软件绘制思维导图,电脑软件绘制思维导图操作教程分享
  14. java粒子群算法_Java多线程技术实现的粒子群优化算法
  15. 五种最火供应链金融模式分析(附详细案例)
  16. csm和uefi_如何以简单正确的姿势理解“UEFI”和“BIOS”?
  17. matlab对函数时间抽样,信号与系统实验报告4 matlab时间抽样
  18. 2022年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
  19. epub.js制作电子书阅读网站
  20. python验证考拉兹猜想_Python考拉兹猜想输出序列代码实践

热门文章

  1. Unity Using Interception and Policy Injection
  2. python2.7安装pyqt4及转换ui文件为py文件
  3. 【Java入门提高篇】Day26 Java容器类详解(八)HashSet源码分析
  4. Telnet基本概念及C# Telnet 客户端程序
  5. Lintcode---二叉树的最大深度
  6. fullPage.js插件用法(转发)
  7. 做一款仿映客的直播App
  8. MySQL查询重复出现次数最多的记录
  9. Iframe相关操作
  10. XAMPP浏览器输入localhost跳转localhost/dashboard/